アカウント名:
パスワード:
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?継続課金とか繰り返し買い物して貰うため?でもトラッキングコードでできるんですよね?なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。マゾなのかな。
ということもあり楽天しか使わなくなったよ
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
ASPはすべてこれですね。ソフトクリエイトhttp://www.ecbeing.net/ [ecbeing.net]もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。あれってもう終わったのかな?
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]よゆうで漏れてるっつーの
今も7社が「楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」という表記を出しているようです(参考リンク [no-ip.org])。
………その7社のうちECカレントは「店舗の改装中 [rakuten.co.jp]」で閉じてる。
楽天って楽天自体が悪用してるようなもんだろ…昔から色々やらかしてるし信用出来ない
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。Amazonも同じ。
自分もそれが一つ。あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
amazonが信用できるかは置いといて……amazon以外には決済情報は渡らないはずだよ。
ある程度信用できそうなところ以外からは買わないのは決済とは別にして当然ではあるが。
楽天、確かにお漏らしはしないけど、不正利用という観点からは未だに、3Dセキュアどころか、セキュリティコードすら不要な状況をどうにかして欲しいと思います。そりゃ、保険で保証はされるけどさ…。
セキュリティーコードとかいうゴミはともかく、3Dに関してはカード会社の怠慢が全て。
大手イシュアでも、3D登録されているカードは全体の20%程度しか無い。リスクを担保できるなら、3D使わない方が当然売り上げが上がるので、Amazonとか楽天はガン無視しているわけです。
3Dセキュア使ったところで、クレカ番号は店側にわたるから意味ない。
流出したカード番号が認証に対応しない楽天で使われやすいと言う話だから、クレカ番号がわたるとかは関係無い
3Dセキュアって店側にはメリットがあっても、購入者側には何のメリットもないだろ。
手間がかかるだけ害悪ですらある。
店にも大してメリットなくて、イシュアだけにメリットがあるんですよ。そりゃ普及しません。3Dセキュア自体なんというか、ダサい方式だけど、どうしても普及させたければ料率を大幅に優遇するとか、何らかの策が必要じゃないでしょうか。
俺には関係ねえからと言う一方的な思い込みで犯罪抑止を批判する奴はクソ
全ての店、とまでは言わなくても、ほとんどの店で3Dセキュアに対応しないかぎり、犯罪抑止にはなりませんよ?
>3Dセキュアあの知らないドメインのサイトに飛ばされてそこでパスワードを入力するって作りはなんとかならんかったのかdnp-cdms.jpとか知らねーよそこはユーザが使ってるカードの会社のドメインでやれよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
疑問 (スコア:1)
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?
継続課金とか繰り返し買い物して貰うため?
でもトラッキングコードでできるんですよね?
なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。
マゾなのかな。
Re:疑問 (スコア:0)
ということもあり楽天しか使わなくなったよ
Re: (スコア:0)
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
Re:疑問 (スコア:1)
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、
それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。
今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、
まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。
HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
Re:疑問 (スコア:1)
ASPはすべてこれですね。ソフトクリエイト
http://www.ecbeing.net/ [ecbeing.net]
もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。
どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。
他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
Re: (スコア:0)
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。
特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、
もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、
どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
Re:疑問 (スコア:1)
今回問題になったような小さい店舗直接よりはセキュリティ的にマシな可能性は高いかと。
当時、結構騒がれたんだけど、それを逆手にとって文句の出にくい状態で店からカード決済の権限奪って
外にはこれからは安心をアピールしつつ、きっちり収益アップや囲い込みにもつなげたというやり手ぶり。
ピンチをチャンスにかえたと一部アナリストさんたちからもとても好評でしたとさ。
見事な焼け太りとぶりに感心したから、なんとなく覚えてた。
まあ今もその時のままかはわからんけどね。
ただなんか問題があっても履歴で手繰りやすいだけでも大手は有利だとは思う。
数ヶ月前の買い物を何処で買ったかなんて覚えてる人は少ないだろうし。
Re: (スコア:0)
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。
あれってもう終わったのかな?
Re:疑問 (スコア:1)
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]
よゆうで漏れてるっつーの
Re: (スコア:0)
今も7社が「楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」という表記を出しているようです(参考リンク [no-ip.org])。
………その7社のうちECカレントは「店舗の改装中 [rakuten.co.jp]」で閉じてる。
Re: (スコア:0)
楽天って楽天自体が悪用してるようなもんだろ…
昔から色々やらかしてるし信用出来ない
Re: (スコア:0)
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。
Amazonも同じ。
Re: (スコア:0)
自分もそれが一つ。
あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。
あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。
でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。
ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
Re: (スコア:0)
amazonが信用できるかは置いといて……
amazon以外には決済情報は渡らないはずだよ。
ある程度信用できそうなところ以外からは買わないのは
決済とは別にして当然ではあるが。
Re: (スコア:0)
楽天、確かにお漏らしはしないけど、不正利用という観点からは未だに、3Dセキュアどころか、セキュリティコードすら不要な状況をどうにかして欲しいと思います。そりゃ、保険で保証はされるけどさ…。
Re: (スコア:0)
セキュリティーコードとかいうゴミはともかく、3Dに関してはカード会社の怠慢が全て。
大手イシュアでも、3D登録されているカードは全体の20%程度しか無い。
リスクを担保できるなら、3D使わない方が当然売り上げが上がるので、
Amazonとか楽天はガン無視しているわけです。
Re: (スコア:0)
3Dセキュア使ったところで、クレカ番号は店側にわたるから意味ない。
Re: (スコア:0)
流出したカード番号が認証に対応しない楽天で使われやすいと言う話だから、クレカ番号がわたるとかは関係無い
Re: (スコア:0)
3Dセキュアって店側にはメリットがあっても、購入者側には何のメリットもないだろ。
手間がかかるだけ害悪ですらある。
Re:疑問 (スコア:1)
店にも大してメリットなくて、イシュアだけにメリットがあるんですよ。
そりゃ普及しません。
3Dセキュア自体なんというか、ダサい方式だけど、
どうしても普及させたければ料率を大幅に優遇するとか、何らかの策が必要じゃないでしょうか。
Re: (スコア:0)
俺には関係ねえからと言う一方的な思い込みで犯罪抑止を批判する奴はクソ
Re: (スコア:0)
全ての店、とまでは言わなくても、ほとんどの店で3Dセキュアに対応しないかぎり、
犯罪抑止にはなりませんよ?
Re: (スコア:0)
>3Dセキュア
あの知らないドメインのサイトに飛ばされてそこでパスワードを入力するって作りはなんとかならんかったのか
dnp-cdms.jpとか知らねーよ
そこはユーザが使ってるカードの会社のドメインでやれよ